Пыль.. До тех пор, пока не появится куча правил маркировки и фильтрации..
Группы вы сделаете только на коммутаторе, к которому будете подключать клиентов.
Почему?
Да потому что внутри одной сети ваши пользователи, которые сидят на одном коммутаторе, плевать хотели на правила фаервола, так как в первую очередь пакеты полетят в соответствии с ARP-таблицей самого коммутатора, который знает какое устройство на каком порту и не гоняет пакеты через маршрутизатор.
Далее все зависит от коммутатора. Если он управляемый, то на нем уже можно настраивать кто куда. Но при этом в любом случае правильнее делать вланы или вланы во влане.
Не нужно усложнять. Делайте вланы. Нужно 100 вланов - делайте 100. Нужно 1000... Ну вы поняли.
Вланы через пол года-год будут намного проще в понимании при попытке разобраться в том, что там намудрено. А куча правил в фаерволе и на коммутаторах при возможном более простом решении - зло.
Но это мое мнение. Мне всегда хочется руки оторвать всем, кто усложняет сеть кучей ненужных правил, которые потом фиг поймешь из-за слишком большого количества.
Вы поймите одно: когда через длительный период вас попросят что-то поменять или потребуется что-то добавить, вы будете волосы рвать из-за крайне большого количества правил. А те же вланы замечательно рисуются на бумажке и всегда легко можно восстановить картину сети.
Видимость компов внутри Vlan
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
SergeyZ
- Сообщения: 111
- Зарегистрирован: 10 сен 2018, 09:07
- Откуда: Санкт-Петербург
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
господа хорошие вы философы бесспорно но ответа на вопрос я так и не получилSergeyZ писал(а): ↑28 сен 2018, 22:40 Пыль.. До тех пор, пока не появится куча правил маркировки и фильтрации..
Группы вы сделаете только на коммутаторе, к которому будете подключать клиентов.
Почему?
Да потому что внутри одной сети ваши пользователи, которые сидят на одном коммутаторе, плевать хотели на правила фаервола, так как в первую очередь пакеты полетят в соответствии с ARP-таблицей самого коммутатора, который знает какое устройство на каком порту и не гоняет пакеты через маршрутизатор.
Далее все зависит от коммутатора. Если он управляемый, то на нем уже можно настраивать кто куда. Но при этом в любом случае правильнее делать вланы или вланы во влане.
Не нужно усложнять. Делайте вланы. Нужно 100 вланов - делайте 100. Нужно 1000... Ну вы поняли.
Вланы через пол года-год будут намного проще в понимании при попытке разобраться в том, что там намудрено. А куча правил в фаерволе и на коммутаторах при возможном более простом решении - зло.
Но это мое мнение. Мне всегда хочется руки оторвать всем, кто усложняет сеть кучей ненужных правил, которые потом фиг поймешь из-за слишком большого количества.
Вы поймите одно: когда через длительный период вас попросят что-то поменять или потребуется что-то добавить, вы будете волосы рвать из-за крайне большого количества правил. А те же вланы замечательно рисуются на бумажке и всегда легко можно восстановить картину сети.
"хрен с ним с пальтом "
я многое обрисовал в общей конфиге но....
вопрос прост есть влан и в нем надо запретить общение компов между собой.... за тупым свичем
думаю ситуация аналогичная если в 951 порты в бридже и за каждым по одному компу и также надо запретить им видеть друг друга...
к примеру как вы говорите я сделаю 100 вланов и в каждый закину по одному компу но через мес добавятся или сменятся 10 компов и мне что при каждом изменение лепить вланы?
с чего это тупой TP Link 24 свич помешает правилам микротика?
может просто вы не знаете как эту простую задачу решить и философствуете
-
SergeyZ
- Сообщения: 111
- Зарегистрирован: 10 сен 2018, 09:07
- Откуда: Санкт-Петербург
Внутри одного неуправляемого коммутатора или ненастроенного управляемого коммутатора есть ARP таблица.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"SergeyZ писал(а): ↑29 сен 2018, 00:07 Внутри одного неуправляемого коммутатора или ненастроенного управляемого коммутатора есть ARP таблица.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?
как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В общем ещё разок.
1) Если у вас на порту висит тупой свитч, то решения вашей задачи нет.
2) Можно заменить этот тупой свитч на умный, умеющий изоляцию портов - и тогда на нём все настроится.
И бонусом:
3) По факту вам vlan'ы вообще не нужны - можете просто вешать по подсети на каждый порт микротика, ничего не изменится.
1) Если у вас на порту висит тупой свитч, то решения вашей задачи нет.
2) Можно заменить этот тупой свитч на умный, умеющий изоляцию портов - и тогда на нём все настроится.
И бонусом:
3) По факту вам vlan'ы вообще не нужны - можете просто вешать по подсети на каждый порт микротика, ничего не изменится.
Telegram: @thexvo
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вы никак не сможете распределить устройства в несколько вланов, если свитч тупой и на нем нет возможности эти вланы настраивать.lorddemon писал(а): ↑29 сен 2018, 09:58 TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?
как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?
На неуправляемом свитче ваша задача не решается.
Telegram: @thexvo
-
SergeyZ
- Сообщения: 111
- Зарегистрирован: 10 сен 2018, 09:07
- Откуда: Санкт-Петербург
Да, никак, вообще.
Да, только свич должен быть управляемым, чтобы можно было настроить этот самый транк, принимающий трафик для разных VLAN, и Access порты для определения какой порт к какому VLAN принадлежит.
И правильно в какой-то мере говорят товарищи сверху. В какой-то мере VLAN'ы вам не нужны. Их можно заменить на подсети.
На данный момент вы можете запретить общение между компами в одном VLAN только по средствам настройки самих компов, то есть локально каждому компу в отдельности запретить. Но это очень плохое решение для таких масштабов.
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
а сделать неколько вланов на одном порту и фиксировать ИП по МАК чтоб одни входили в один влан а другие в другой ...?
будут иметь разные группы ИП ....?
так тоже не получится?
будут иметь разные группы ИП ....?
так тоже не получится?
-
SergeyZ
- Сообщения: 111
- Зарегистрирован: 10 сен 2018, 09:07
- Откуда: Санкт-Петербург
VLAN - это не инструмент разделения компов по IP и MAC. Это инструмент создания виртуальных сетей, привязанных к определенным портам одного или нескольких коммутаторов.
На тупом свиче нет VLAN. Его можно воспринимать как устройство с VLAN1, у которого все порты - Access, а транка нет.
Вы, наверняка, думали, что вы пустите на тупой свич несколько вланов, а компы там сами разберутся.. Нет, так не работает. Даже на умном свиче принадлежность портов определенному VLAN настраивается на коммутаторе, и в какой порт воткнете кабель от компа, в том VLAN он и окажется.